Tem uma coisa que eu noto constantemente quando converso com donos de sites/servidores que foram derrubados por ataques DDoS: eles tratam o incidente como um problema técnico. Chamam o suporte da hospedagem, esperam o ataque passar, e seguem em frente. Ninguém registra queixa. Ninguém documenta nada. O atacante nunca sofre consequência.

O que muita gente no Brasil não sabe — e que faz toda a diferença, especialmente se você opera um negócio online com audiência nos Estados Unidos — é que lançar um ataque DDoS contra um site americano é um crime federal. Não uma infração administrativa. Não uma zona cinzenta legal. Um crime federal, processado pelo mesmo sistema que investiga fraudes bancárias e tráfico de drogas.

O que a lei americana diz

O Computer Fraud and Abuse Act (CFAA), codificado em 18 U.S.C. § 1030, é a principal lei federal americana que trata de crimes cibernéticos. Sob esse estatuto, causar intencionalmente dano a um sistema protegido — o que inclui qualquer servidor conectado à internet nos EUA — configura crime federal. Ataques DDoS se enquadram diretamente nessa definição.

As penalidades são sérias. Dependendo da gravidade e da reincidência, uma condenação pode resultar em até 10 anos de prisão federal. Para casos envolvendo infraestrutura crítica — hospitais, sistemas financeiros, serviços governamentais — a pena pode ser ainda maior.

Mais importante: o CFAA não exige que o atacante esteja fisicamente nos Estados Unidos. Se o ataque afetou um sistema americano, a jurisdição federal americana pode se aplicar. O DOJ já processou indivíduos em outros países por crimes cibernéticos cometidos remotamente. Isso não é teoria — é jurisprudência estabelecida.

O FBI não está brincando

Em outubro de 2023, o FBI publicou uma nota formal — disponível publicamente no site do escritório de Anchorage — declarando que está intensificando os esforços para combater ataques DDoS ilegais. O documento é direto: o Bureau está ativamente investigando operadores de botnets, serviços de DDoS por contratação (os chamados “booters” e “stressers”), e qualquer pessoa que use ou venda esse tipo de infraestrutura.

Na mesma nota, o FBI instrui as vítimas a registrarem queixa no IC3 — Internet Crime Complaint Center (ic3.gov), independentemente do valor do prejuízo financeiro ou de quando o ataque ocorreu. Isso é importante: o IC3 aceita denúncias de ataques passados, não apenas de incidentes em andamento. Cada denúncia alimenta o banco de dados federal e ajuda a construir casos contra redes criminosas que operam há anos impunes.

Para quem opera um site com tráfego americano e foi vítima de ataque DDoS: você tem o direito de registrar uma queixa formal junto ao FBI. E você deveria usar esse direito.

Por que as vítimas não denunciam — e por que isso é um problema

A maioria das vítimas não denuncia por três razões: acham que o prejuízo foi pequeno demais para o governo se importar, acreditam que identificar o atacante é impossível, ou simplesmente não sabem que existe um canal federal para isso.

Os três argumentos são falaciosos.

O FBI não tem um valor mínimo para abrir investigação de crime cibernético. As ferramentas de atribuição disponíveis para agências federais — acesso a registros de provedores, cooperação internacional, análise de infraestrutura de botnets — vão muito além do que qualquer empresa privada consegue fazer sozinha. E o IC3 existe exatamente para receber esse tipo de denúncia.

O que falta, na maior parte dos casos, é documentação. Logs de servidor. Timestamps. Dados de tráfego durante o ataque. Sem essa evidência preservada, mesmo o melhor investigador federal tem pouco com o que trabalhar.

O que fazer quando seu site é atacado

Antes de qualquer coisa: não apague nada.

Os logs do seu servidor durante o ataque são evidência forense. Se você ou sua equipe técnica apagarou ou sobrescreveu esses arquivos sem capturá-los, perdeu a principal ferramenta de investigação.

O processo correto é:

  1. Documente tudo enquanto o ataque acontece. Volume de requisições, faixas de IP de origem, tipo de requisições (GET flood, POST flood, Slowloris), horários precisos.
  2. Guarde os logs de servidor em um local externo e seguro. Muitos servidores sobrescrevem logs automaticamente após um período — exporte antes que isso aconteça.
  3. Registre o impacto. Screenshots do painel de monitoramento, métricas de disponibilidade, registros de perda de receita se aplicável.
  4. Registre queixa no IC3.gov. Leva menos de 15 minutos. Você pode fazê-lo em inglês mesmo que não domine o idioma — a plataforma é direta e o formulário é objetivo.
  5. Contate o escritório local do FBI se o ataque for de grande escala ou afetar infraestrutura crítica. A lista de escritórios está em fbi.gov/contact-us/field-offices.

O papel da proteção especializada

Existe uma diferença fundamental entre reagir a um ataque e estar preparado para ele.

A maioria das soluções de hospedagem trata DDoS como um inconveniente a ser absorvido — colocam limites de taxa genéricos, bloqueiam IPs óbvios, e torcem para o atacante desistir. Isso pode funcionar contra scripts amadores. Não funciona contra ataques de camada 7 bem-executados.

Ataques na camada de aplicação — Layer 7 na terminologia técnica — são diferentes porque as requisições parecem legítimas. Um bot bem configurado envia headers HTTP corretos, user-agents reais, comportamento de sessão plausível. Um rate limiter simples não distingue esse tráfego de um usuário real. O servidor processa cada requisição, executa queries no banco de dados, gera respostas — e vai à exaustão não por volume bruto, mas por consumo de recursos.

Mitigar esse tipo de ataque requer análise comportamental em tempo real: padrões de acesso, distribuição de requisições por endpoint, correlação entre IPs, detecção de anomalias em sequências de sessão. É um problema de inteligência de tráfego, não de firewall.

É nisso que a Mirai Guard trabalha. Não como feature de uma plataforma maior — como foco exclusivo. Cada configuração de proteção é feita por pessoas que entendem o problema em profundidade, ajustada para o perfil de tráfego específico de cada site, e monitorada ativamente. Quando um ataque começa, a resposta não é automática e genérica — é técnica e contextualizada.

A dimensão que vai além do técnico

Há um aspecto que raramente aparece nas discussões técnicas sobre DDoS e que merece atenção: o posicionamento da indústria de cibersegurança no combate a esses crimes não é apenas técnico — é institucional.

O FBI não consegue investigar o que não é reportado. As autoridades americanas não têm visibilidade sobre ataques que afetam sites brasileiros, europeus ou asiáticos se as vítimas não usam os canais disponíveis. Cada denúncia não feita é uma lacuna no mapa que os investigadores federais constroem ao longo de anos para identificar redes criminosas.

Empresas que operam nesse espaço — que veem o tráfego de ataque em detalhes técnicos que a maioria das vítimas nunca vai ter acesso — têm uma responsabilidade que vai além de proteger seus clientes. Documentar, educar, e quando autorizado, contribuir com evidências técnicas para investigações federais, é parte do trabalho.

É assim que entendemos nosso papel.

Se você foi vítima de um ataque DDoS, registre sua queixa em ic3.gov. Se seu site está sob ataque agora ou você quer garantir que está protegido antes que isso aconteça, entre em contato com a Mirai Guard.